GitLab a publié une importante mise à jour de sécurité qui corrige plusieurs failles, dont un problème de lecture de fichier arbitraire jugé "critique" et deux vulnérabilités à fort impact.

Selon le résumé de GitLab, la vulnérabilité de lecture de fichier arbitraire provenait d'une manipulation incorrecte des fichiers.

L'un des problèmes de haute gravité (suivi sous le nom de CVE-2021-39946) réside dans la possibilité d'abuser la génération de code HTML lié aux emojis pour découvrir une vulnérabilité XSS stockée dans la fonctionnalité de notes de GitLab. "Selon GitLab, la neutralisation incorrecte des entrées utilisateur est à l'origine du problème.

L'autre vulnérabilité de haute gravité (CVE-2021-0154) laissait les instances de GitLab vulnérables à une attaque CSRF (cross-site request forgery) qui "permet à un utilisateur malveillant de faire importer son projet GitHub sur un autre compte utilisateur GitLab". La cause première de ce problème est l'absence de paramètre d'état dans l'OAuth du projet d'importation GitHub.

Cette version offre également une remédiation pour sept bugs de sécurité de gravité modérée y compris un contournement des restrictions IP via GraphQL et deux de moindre risque.

Les utilisateurs de la plateforme DevOps sont vivement encouragés à effectuer une mise à niveau vers 14.6.2, 14.5.3 ou 14.4.5 pour GitLab Community Edition (CE) et Enterprise Edition (EE) afin de protéger leurs environnements.